Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,030

HOME > ASP > ASP Forum > +++> มันบุกมาอีกแล้ว! <+++ สวัสดีครับ ขอเกริ่นนำสักนิดครับ เว็บของผมใช้ asp เชื่อมกับฐานข้อมูล

+++> มันบุกมาอีกแล้ว! <+++ สวัสดีครับ ขอเกริ่นนำสักนิดครับ เว็บของผมใช้ asp เชื่อมกับฐานข้อมูล

เริ่มหัวข้อใหม่

Guest

สวัสดีครับ
ขอเกริ่นนำสักนิดครับ เว็บของผมใช้ asp เชื่อมกับฐานข้อมูล MS Access

ลักษณะของเว็บผมก็คือ มีช่อง username (เป็นแบบ Drop down ให้เลือกคนที่จะเข้าใช้) และช่อง password ให้กรอกก่อนเข้าใช้ฐานข้อมูล เมื่อกรอกเสร็จแล้วระบบก็จะทำการตรวจสอบว่าตรงกันมั้ย ถ้าตรงกันก็จะอนุญาตให้เข้าไปสู่หน้าถัดไปได้

นอกจากนี้ผมยังป้องกันรหัสผ่านแบบสุ่ม ---> 'or''=' ซึ่งลองใช้ดูแล้ว ไม่มีปัญหา ระบบไม่ยอมให้เข้าได้ง่ายๆ แถมยังใช้ระบบ Session ตรวจสอบอีกทุกหน้า...

สรุปว่า เว็บผมโดนโจมตีอีกแล้ว ไอ้เพื่อนผมมันสามารถเข้าสู่ฐานข้อมูลของผมได้ (แต่โชคยังดีที่ผมบล็อกฐานข้อมูลด้วย password ของ MS Access อีกชั้นหนึ่ง มันเลยเข้าดูข้อมูลในฐานข้อมูลไม่ได้ สมน้ำหน้ามัน)

คราวนี้เลยอยากจะถามว่า ทำไมเพื่อนผมมันถึงรู้ว่าฐานข้อมูลชื่ออะไร อยู่ที่ไหน มันถึงโหลดลงมาได้อย่างสบายใจเฉิบเลย มันมีซอฟท์แวร์หรือโปรแกรมอะไรที่เอาไว้ดู CODE ได้ด้วยหรือ มันถึงรู้ว่าฐานข้อมูลชื่ออะไร แล้วอยู่ที่ไหน ใครรู้ช่วยบอกทีว่าจะป้องกันมันยังไงดีนะครับ ขอบคุณครับ

Tag : - - - -

Date : 17 ก.ค. 2548 14:18:00

By : CUD37

View : 2462

Reply : 4

No. 1

Guest

แล้วสมมติว่าใช้โปรแกรม teleport Pro ดูดเว็บของผมเนี่ย ทุกอย่างจะมาหมดเลยรึป่าว รวมถึงฐานข้อมูลด้วย
ช่วยตอบหน่อยครับ

Date : 17 ก.ค. 2548 15:03:47

By : CUD37

No. 2

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

ทุกวันนี้มีโปรแกรมที่สามารถดูดได้ทุกอย่างเลยครับ และผมก็เคยดูดมาแล้วด้วยครับ จ๊วบ ๆ

Date : 18 ก.ค. 2548 09:28:48

By : @W_IN

No. 3

Guest

บอกชื่อเว็บทีครับอยากเห็น
อ่านแล้วขำ หลายทีแล้วนี้

Date : 18 ก.ค. 2548 16:22:11

By : กรรมกรบริษัท

No. 4

Guest

ท่านครับ ท่านอยากได้กี่วิธีเข้าล่ะแล้วเรื่องที่ท่านเข้ารหัส Mc-Access นะครับผมก็ว่าดีครับ แต่ถ้าเป้นผมนะผมแกะพาสของ Ms-Access ได้ในเวลากาแฟยังไม่ทันอุ่นเลยอ่ะครับ แล้วเรื่องที่เขาเข้าได้นั้น
อย่างแรกเลยนะครับ อาจเพราะเขาเดาได้ว่าท่านเก็บฐานข้อมูลไว้ที่ไหน และท่านตั้งชื่อไว้ว่าอะไรวิธีแก้ก็เหมือที่ท่านพอรู้มาบางนั้นคืออย่าตั้งชื่อฐานข้อมูลให้มีความหมายที่จะเดาได้ง่าย
สองอย่าให้ใครรู้ระบบการทำงานของท่าน

แต่ หากเข้าด้วยความสามารถในการเจาะนั้นก็มีหลายทางครับ อย่างแรกนะครับ ไม่รู้ว่าเข้าทำเหมือนผมมั้ย
ผมจะบอกแค่โค้ดบางส่วนนะครับ ไม่สอนหรืออธิบายวิธีใช้หากอยากรู้ก็ใช้ google หาครับ
Union All
Union information Table
เอาแค่นี้แล้วกันนะครับ ผมเองก็แค่พอรู้นะครับ วิธีแก้ก็คงยาก แต่ก็พอมีหากท่านใช้ google หารายละเอียดเกี่ยวกับสองอย่างที่ผมบอกท่านก็จะเข้าใจอะไรมากขึ้น

ส่วนเรื่อง session นั้นท่านให้เช็คทุกหน้าแก้ได้ดว้ยหากเขาลองเขาแล้วรู้ว่าท่านใช้ session แนวไหน เข้ารหัสหรือป่าว หรือว่า session แบบตัวเลขที่ง่ายๆ
หากเป้นแบบนั้นจริงเขาคงไม่ต้องใช้วิธี Union All หรอกครับ
เพราะวิธีสร้าง session นั้น java injection แก้ได้

ขอโทษนะครับหากใช้ข้อความบางส่วนที่แรงไปบางแต่ผมเองก็แค่พอรู้งูๆปลาๆ นะครับ
อย่าเชื่อผม แต่ลองหาดูอย่างที่ผมแนะนำ หากท่านรู้แล้วก็อภัยด้วยนะครับ

ส่วนเรื่องการแกะ Ms-Access นั้น เอาแบบง่ายๆเลยนะครับ พาส= 8 byte,10 byte,16 byte, แล้วก็มีPrograme
ถอดพาสภายในสองนาที ลองหาดูนะครับ Crack Ms-Access

Date : 18 ก.ค. 2548 21:49:38

By : พามา

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : +++> มันบุกมาอีกแล้ว! <+++ สวัสดีครับ ขอเกริ่นนำสักนิดครับ เว็บของผมใช้ asp เชื่อมกับฐานข้อมูล

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก